Irlannin tietosuojaneuvosto "käsittelee" 99,93 prosenttia GDPR:n valituksista ilman päätöstä?

Apr 28, 2021

Irlannin DPC myöntää avoimesti: Se ei päätä GDPR:n mukaisista valituksista. Ainakin 99,93 prosentissa niistä ei tehdä päätöstä, vaikka rahoitusta on myönnetty 19,1 miljoonaa euroa.

Irlannin tietosuojavaltuutettu Helen Dixon myönsi ensimmäistä kertaa julkisesti Irlannin parlamentin oikeuskomitean kuulemistilaisuudessa, mitä monet epäilivät: Irlannin tietosuojaviranomainen ei tee päätöksiä kansalaisten valituksista - EU:n lainsäädännön vastaisesti. Lisäksi DPC syytti arvostelijoita "täydellisistä epätarkkuuksista", suurelta osin täsmentämättä epätarkkuuksia. Hän syytti myös muita tietosuojaviranomaisia poliittisista syistä arvostella hänen toimistoaan.

Kaksituntinen kuulemistilaisuus oikeusasioita käsittelevässä sekavaliokunnassa jaettiin kahteen istuntoon, joista ensimmäisessä istunnossa olivat läsnä Max Schrems(noyb) ja Fred Logue (FP Logue Solicitors) ja toisessa istunnossa Helen Dixon (DPC) ja Johnny Ryan (ICCL). Ensimmäisen istunnon todistajat olivat pitkälti samaa mieltä lukemattomista DPC:hen liittyvistä ongelmista ja korostivat, että useimmat DPC:n käsiteltäväksi saatetut valitukset eivät juurikaan johda päätöksiin - usein vuosiin. Huolimatta siitä, että vuonna 2020 ilmoitetaan yli 10 000 valitusta, tietosuojaneuvosto suunnittelee vain kuudesta seitsemään virallista päätöstä vuonna 2021, mikä tarkoittaa, että vain 0,07 prosenttia kaikista tietosuoja-asetusta koskevista valituksista saattaa mahdollisesti saada virallisen päätöksen. Tämä valitusten "katoaminen" sai Schremsin spekuloimaan "Bermudan kolmiosta" tietosuojaneuvostossa.

DPC: "Käsittely" ei tarkoita "päättämistä". Pitkään jatkunut ihme GDPR:n mukaisten valitusten "itsestään ratkaisemisesta" poistettiin Helen Dixonin toimesta: Tietosuojaneuvosto tulkitsee sanan "käsitellä" yksinkertaisesti niin, että tietosuojaneuvosto voi myös yksinkertaisesti hävittää yksityisyyden suojaa koskevaa perusoikeutta koskevat valitukset. Hän väitti avoimesti: "Itse asiassa DPC:llä ei ole vuoden 2018 lain nojalla mitään velvollisuutta tuottaa päätöstä minkään valituksen osalta."

Max Schrems, noyb:n puheenjohtaja: "Joskertoisit pomollesi, että tulkitsisit 'käsitellä' niin, että voit heittää työn roskiin, saisit todennäköisesti potkut. Sen sijaan DPC pyysi lisäystä nykyiseen 19,1 miljoonan euron budjettiinsa."

GDPR:n mukainen selkeä oikeus päätöksentekoon. Oikeus tietosuojaan on suojattu EU:n perusoikeuskirjan 8 artiklassa. Kansallisten tietosuojaviranomaisten tehtävänä on valvoa, että tämä oikeus toteutuu jokaisen käyttäjän osalta maksutta ja kohtuullisessa ajassa. Yleinen tietosuoja-asetus sallii jopa muutoksenhaun tuomioistuimeen, jos"viranomainen ei toimi valituksen johdosta, hylkää tai hylkää valituksen osittain tai kokonaan tai ei toimi silloin, kun tällaiset toimet ovat tarpeen rekisteröidyn oikeuksien suojelemiseksi" Myös yhteisöjen tuomioistuin korosti tätä hiljattain käsitellyssä tapauksessa, jossa oli kyse Schremsistä ja kuluttajansuojaneuvostosta, ja korosti tämän velvollisuutta toimia.

Gerard Rudden, irlantilainen lakimies noyb: "Tuomioistuin katsoi, että tietosuojaviranomaisen on käsiteltävä valitus kaikin tavoin huolellisesti. Mikä on DPC:n määritelmä käsitteelle 'käsitellä'? Voiko jotain jättää huomiotta 'kaikella huolellisuudella'?"

Max Schrems: "EU:n lainsäädännössä edellytetään helppoa ja maksutonta tapaa valvoa oikeuksiensa noudattamista. DPC kieltää nyt avoimesti tämän oikeuden kaikilta EU:n kansalaisilta.""

Syytökset kohdistuvat EU:n parlamenttiin, todistajiin ja muihin tietosuojaviranomaisiin. Tietosuojavaltuutettu hyökkäsi Euroopan parlamenttia vastaan, koska se käytti virheellisiä tietoja vaatiessaan rikkomismenettelyä Irlantia vastaan GDPR:n täytäntöönpanon puutteen vuoksi (katso video alla). Hän syytti myös muita Irlannin parlamentissa esiintyneitä todistajia "täydellisistä epätarkkuuksista" tarkemmin erittelemättä, mitä hän piti epätarkkana. Schrems lähetti välittömästi avoimen kirjeen tietosuojaneuvostolle ja sekavaliokunnalle, jossa hän vaati selvennyksiä näihin epäselviin syytöksiin.

Mutta DPC ei pysähtynyt tähän: Hän syytti lisäksi muita tietosuojaviranomaisia poliittisista syistä kyseenalaistaa tietosuojaneuvoston tehottomuus: "...samat tietosuojaviranomaiset, jotka nyt arvostelevat Irlantia ja keskitettyä asiointipistettä, ovat niitä, jotka aiemmin hylkäsivät keskitetyn asiointipisteen konseptin ...".Ei ole yllättävää, että esitettyyn kritiikkiin liittyy poliittinen elementti." Näyttää kyseenalaiselta, auttavatko nämä kommentit varmistamaan paremman eurooppalaisen yhteistyön tulevaisuudessa. Rouva Dixonin kerrotaan välttelevän nykyään useimpia EU-kokouksia.